Byznys - O ranním útoku na české zpravodajské servery je známo zatím velmi málo na to, abychom mohli jasně ukázat na jeho skutečný cíl, natož na pachatele. Ale jisté a zajímavé indicie tu jsou.

Zprávy od administrátorů napadených serverů se mírně liší. Podle některých byl útok veden z "českého internetu“, podle jiných je rozptyl útoku mezinárodní. To by spíše než amatérské nahodilé akci odpovídalo užití profesionálního bootnetu.

Co se vlastně stalo?

České noviny na internetu zasáhla v pondělí nejmasivnější vlna útoků za poslední dobu. Obtížně dostupné či spíše vůbec nedostupné byly iDnes a Lidovky (mají stejného majitele i stejné technické zázemí), iHned, Deník a také Novinky patřící Seznamu. Ještě dopoledne se zdálo, že se problémy vyhnou webu E15 patřícímu Mladé frontě, ale po jedenácté hodině došlo i na něj. Půl hodiny předtím se šéf internetových redakcí Mladé fronty Marek Lutonský neopomněl na Twitteru pochlubit, že E15 jede. Neměl to dělat.

V průběhu dne jednotlivé redakce přidávaly svá vysvětlení na sociální sítě a alespoň částečně zprovoznily náhradní zpravodajství v rámci svých facebookových profilů, na nápravách se „intenzivně pracovalo“. Otázka je, kolik se toho v tomto případě dá dělat.

Útok typu DDoS, který za nefunkčností českého zpravodajství stojí, je velmi nepříjemný tím, že je obtížné jej odlišit od běžného používání stránek. Zjednodušeně řečeno je opakovaně a velmi často přistupováno na stránku, kterou chce útočník napadnout. Je to, jako byste často žádali od svého prohlížeče „Obnovení stránky“.

To zpravidla nebývá závažný problém, kapacita uživatelova počítače či jeho internetové přípojky se vyčerpá významně rychleji než kapacita obsluhujícího serveru. Ten navíc většinou není sám, zátěž si mezi sebou rozděluje více serverů. Jenže v momentě, kdy takovýto opakovaný požadavek vznáší tisíce počítačů, už má obsahová farma problém, který nemusí zvládnout. Provoz přeroste obvyklé meze, nad které je řešení dimenzováno. Časy na odbavení dotazů se prodlouží neúměrně, až přestanou servery stíhat úplně.

Řešení, tedy těch, která lze použít ihned, je relativně málo. Nejběžnějším je zahazování dotazů z IP adres, které útok provádějí. Tady jde ovšem o to, jak moc je útok profesionální a koordinovaný. Moderní „bootnet“ sítě umí plynule testovat metody ochrany, přelévat útok z jednotlivých IP adres počítačů zapojených do bootnetů a vygenerovat optimální vlnu útoku. Navíc tyto bootnety jsou dnes již dostupné za velmi nízké ceny zejména na ruském a čínském internetu. Lze si relativně snadno zaplatit výpočetní kapacitu, která se povětšinou skládá z napadených počítačů, do nichž se pod nějakou záminkou („instalujte si oči sledující kurzor myši“) dostal klient bootnetové sítě. A lze si také stanovit, z jakých zemí či IP rozsahů má být útok proveden primárně.

Není dosud jasné, proč jsou (byly) české zpravodajské servery terčem tak masivního útoku. Ve většině takových případů přicházejí předem varování nebo posléze nějaké požadavky či proklamace. K útoku se veřejně přihlásí nějaká vlivová skupina nebo neveřejně skupina podnikatelská s nabídkou „zajištění bezpečnosti serveru“. To se ale zatím nestalo, nebo to alespoň nebylo oznámeno.

Obvyklí podezřelí, čeští Anonymous (ať si již pod jménem anonymů představíte kohokoliv), vydali sice prohlášení odsuzující předpojatost médií, k útoku se ale přímo nepřihlásili.

V sociálních sítích proto není o spekulace nouze. Variantu, že takto eskaloval víkendový spor publicista Kamberský versus mediální manažer Balšínek o tom, kdo je prohradní klausovský mazánek, berme jako žert. Jsou i jiná podezření. Například ta, zda masivní výpadek nesouvisí s vlnou kritiky spojené s odchodem Václava Klause z úřadu.

To vše ale zůstává jen v rovině spekulací. Jisté ani není to, zda a na jak dlouho se servery vzpamatují, řada z nich už kolem oběda začala fungovat a s různými obtížemi nyní, v době uzávěrky Insideru, funguje.

Patrick Zandl